Blog

Jul 14, 2023

Giuro solennemente che il mio autista non ha buone intenzioni: a caccia di malware firmato con attestazione

Durante una recente indagine di Incident Response, Mandiant ha scoperto un driver dannoso utilizzato per terminare determinati processi sui sistemi Windows. In questo caso, il driver è stato utilizzato nel tentativo di farlo

Durante una recente indagine di Incident Response, Mandiant ha scoperto un driver dannoso utilizzato per terminare determinati processi sui sistemi Windows. In questo caso, il driver è stato utilizzato nel tentativo di terminare l'agente Endpoint Detection and Response (EDR) sull'endpoint. Mandiant traccia il driver dannoso e il suo caricatore rispettivamente come POORTRY e STONSTOP. Subito dopo la scoperta iniziale, Mandiant ha osservato un campione di driver POORTRY firmato con una firma Authenticode di compatibilità hardware di Microsoft Windows. Un'attenta analisi dei metadati Authenticode del driver ha portato a un'indagine più ampia sui driver dannosi firmati tramite il Programma di compatibilità hardware di Windows. L’indagine ha rilevato un problema più ampio:

Questa ricerca viene pubblicata insieme a un post sul blog dei nostri colleghi di SentinelOne.

Le relazioni si basano sulla fiducia. Lo stesso vale per il rapporto che abbiamo con i software su cui facciamo affidamento quando utilizziamo quotidianamente i nostri computer; mi fido dell'esecuzione di questo programma e perché? Il software può essere molto opaco per gli utenti finali; quando afferma di provenire dall'azienda X, quali meccanismi esistono per verificare l'affidabilità del software?

[Musica di uscita di John Cena in coda.]

La firma del codice è entrata sul ring.

La firma del codice è un mezzo per garantire l'integrità e l'autenticità di un determinato file. I fornitori di software ottengono i certificati utilizzati per la firma del codice da autorità di certificazione (CA) affidabili, che rispettano gli standard stabiliti dal CA/Browser Forum e dal CA Security Council. Queste linee guida descrivono in dettaglio i requisiti, che includono la verifica dell'esistenza legale e dell'identità della società e che il richiedente del certificato sia autorizzato ad agire per conto del fornitore di software che afferma di rappresentare.

Questo certificato viene quindi utilizzato per firmare il software e fornire un livello di fiducia tra il software e il sistema operativo. Le politiche di applicazione della firma del codice differiscono in base al sistema operativo e al tipo di file, dal consentire solo l'esecuzione del codice firmato, alla riduzione al minimo degli avvisi di sicurezza per l'esecuzione del codice firmato, al semplice utilizzo come firma digitale che denota l'autenticità di un'applicazione.

L'implementazione della firma del codice di Microsoft per i binari di Windows è nota come Authenticode. Authenticode dispone di diverse funzionalità specifiche per driver e pacchetti driver e aiuta i fornitori di hardware a far firmare correttamente i propri driver tramite il Programma di compatibilità hardware di Windows.

"Il programma di compatibilità hardware di Windows è progettato per aiutare la tua azienda a fornire sistemi, prodotti software e hardware compatibili con Windows e che funzionino in modo affidabile su Windows 10, Windows 11 e Windows Server 2022. Il programma fornisce inoltre indicazioni per lo sviluppo, il test e la distribuzione dei driver . Utilizzando il dashboard di Windows Hardware Dev Center puoi gestire gli invii, monitorare le prestazioni del tuo dispositivo o della tua app, rivedere la telemetria e molto altro ancora."

Esistono più fasi per eseguire il processo del Programma di compatibilità hardware di Windows.

Per l'operabilità su Windows 10 e versioni successive, i driver possono essere inviati a Microsoft perfirma dell'attestazione.

In questo processo di firma dell'attestazione, le firme digitali vengono utilizzate per verificare l'integrità dei pacchetti driver inviati e per verificare l'identità dell'editore del software che ha fornito i pacchetti driver. Questo processo richiede che l'organizzazione richiedente firmi il proprio pacchetto driver con un certificato Extended Validation (EV), che presenta requisiti di identificazione migliorati rispetto ad altri certificati di firma del codice e deve utilizzare algoritmi di crittografia più avanzati. Questi certificati EV sono offerti da una cerchia più ristretta di autorità di certificazione che hanno accettato requisiti di audit rafforzati.

Come ulteriore passaggio, i fornitori possono inviare i propri driver per il test Hardware Lab Kit (HLK) per ottenere la certificazione Windows. Quando un driver riceve la firma dell'attestazione, non è certificato Windows. Una firma di attestazione di Microsoft indica che il driver può essere considerato attendibile da Windows, ma poiché il driver non è stato testato in HLK Studio, non vengono fornite garanzie sulla compatibilità, funzionalità e così via.